eGospodarka.pl › Wiadomości › Gospodarka › Raporty i prognozy › Kaspersky: cyberprzestępczość i bezpieczeństwo IT

Kaspersky: cyberprzestępczość i bezpieczeństwo IT

2007-01-29 00:03

Przeczytaj także: Kaspersky: ataki internetowe na firmy

Opozycja bierna

Opozycja bierna obejmuje metody utrudniające analizowanie i/lub wykrywanie złośliwej zawartości. W tym celu można zastosować różne podejścia (dynamiczne generatory kodu, polimorfizm itd.), jednak w większości przypadków autorzy złośliwych programów nie wkładają wiele czasu czy wysiłku w opracowywanie tego typu mechanizmów. Stosują o wiele prostsze rozwiązanie: tak zwane kompresory. Są to narzędzia wykorzystujące wyspecjalizowane algorytmy w celu zakodowania określonego programu wykonywalnego przy jednoczesnym zachowaniu jego funkcjonalności. Użycie kompresora znacznie ułatwia zadanie złośliwemu użytkownikowi: aby program antywirusowy nie mógł wykryć znanego złośliwego programu, autor nie musi już pisać go od nowa - cała jego praca sprowadza się do przepakowania go przy pomocy kompresora, który nie jest znany programowi antywirusowemu. Rezultat jest taki sam, koszty - znacznie niższe.

Jak wspomniano wyżej, w ten sposób spakowana jest większość złośliwych plików wykonywalnych. Rysunek 2 pokazuje liczbę spakowanych złośliwych programów w porównaniu z całkowicie nowymi.

Rys. 2: Wzrost liczby spakowanych próbek. Źródło: Kaspersky Lab

Kliknij, aby powiekszyć

fot. mat. prasowe

Rys. 2: Wzrost liczby spakowanych próbek. Źródło: Kaspersky Lab

Kliknij, aby przejść do galerii (4)

Ciągły wzrost udziału spakowanych próbek w ogólnej liczbie nowych, wcześniej nieznanych złośliwych programów świadczy o tym, że złośliwi użytkownicy przekonani są o skuteczności stosowania kompresorów.

Jak podkreśla autor, nie ma sensu stosowanie kompresorów, które są już wykrywane przez programy antywirusowe - w rezultacie produkt antywirusowy przechwyci oryginalny złośliwy kod. Dlatego obecnie cyberprzestępcy coraz częściej wykorzystują kompresory, które nie są znane branży antywirusowej; takie kompresory rozpowszechniane są jako kompresory "standardowe", zmodyfikowane lub przerobione przez samych autorów. Wzrost liczby nowych złośliwych programów spakowanych za pomocą kompresorów, które nie są rozpoznawane przez oprogramowanie Kaspersky Anti-Virus pokazuje rysunek 2.

Ostatnio pojawia się coraz więcej tzw. "sandwichów", złośliwych programów spakowanych przy użyciu kilku kompresorów jednocześnie w nadziei, że programy antywirusowe nie będą w stanie wykryć przynajmniej jednego kompresora. Wzrost użycia "sandwichów" w stosunku do liczby nowych spakowanych złośliwych programów pokazuje rysunek 3.

Przeczytaj także: